Криминалистический анализ USB - реконструкция цифровых данных с USB-накопителя

Тема в разделе "Информационная безопасность.", создана пользователем DronVR, 5 сен 2018.

  1. DronVR

    DronVR Приватный уровень доступа

    Сообщения:
    226
    Симпатии:
    201
    Баллы:
    43
    Криминалистический анализ USB - реконструкция цифровых данных с USB-накопителя

    Криминалистический цифровой анализ USB включает в себя сохранение, сбор, проверку, идентификацию, анализ, интерпретацию, документацию и представление цифровых данных (улик), полученных из цифровых источников, с целью облегчения или дальнейшего восстановления событий, которые были признаны преступными.

    Обработка образа диска – криминалистический анализ USB:

    • Образ диска определяется как компьютерный файл, где имеется контент и структура устройства хранения данных, это может быть жесткий диск, CD-привод, телефон, планшет, оперативная память или USB-накопитель.
    • Образ диска состоит из фактического контента устройства хранения данных, а также информации, необходимой для репликации структуры и компоновки содержимого устройства.
    • Однако широкий ассортимент известных инструментов используется в суде для проведения анализа.
    • Стандартные инструменты разрешены исключительно в соответствии с законом. Криминалистические эксперты не разрешают выполнять обработку образа с помощью неизвестных инструментов, или новых инструментов.
    • Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

      : Encase Forensic Imager и его расширение (Imagename.E01) Инструменты Судебно-медицинской экспертизы и анализ:
    • Т.к. Encase forensic software стоит около $2,995.00 – $3,594.00, то в этой статье обработка данных и анализ будут проведены при помощи программного обеспечения для криминалистического анализа FTK (FTK Forensic software), созданного AccessData.
    FTK Включает автономный дисковод, простой, но четкий инструмент.

    FTK блок формирования изображений

    [​IMG]
    Изображение, приведенное выше, является панелью Access data FTK Imager.

    Дерево доказательств

    [​IMG]
    • Нажмите на зеленую кнопку в верхнем левом углу, чтобы добавить данные в панель и выбрать тип источника данных.
    • Источник данных - логический диск (USB).
    Логический диск

    • Проверьте выпадающее меню, для того, чтобы выбрать HP USB для анализа
    [​IMG]
    [​IMG]
    Данные дерева данных

    [​IMG]
    • Расширение дерева данных устройства USB будет представлять общий вид данных, удаленных в прошлом.
    • Прокрутите еще раз, чтобы проверить и исследовать тип удаленных данных.
    Предупреждение: рекомендуется не работать с оригинальными данными в ходе расследования, потому что случайное копирование новых данных на USB будет накладываться на прошлые удаленные файлы на USB-диске. Целостность данных не срабатывает, поэтому всегда работайте с криминалистической копией образа.
    Создание образа USB:


    Выберите и создайте образ диска из меню файла.

    [​IMG]
    Формат образа диска

    Нажмите кнопку «Добавить» и выберите соответствующий тип формата образ E01.

    [​IMG]
    Рисунок, изображенный выше, иллюстрирует, что выбранный тип образа - E01.

    Информация о данных

    Следует обязательно добавить дополнительную информацию о типе USB, размере, цвете и больше идентификационной информации о данных.

    [​IMG]
    Адрес назначения образов

    Выберите путь назначения USB-файла C:\Users\Balaganesh\Desktop\New folder, а название файла образа - HP Thumb Drive.

    [​IMG]
    [​IMG]
    Создание образа – криминалистический анализ USB

    [​IMG]
    • Данное изображение показывает, что образ USB формата .E01 находится в процессе обработки.
    • Создание образа файла может занять от нескольких минут до нескольких часов.
    Криминалистический образ:

    Отключите USB-накопитель и храните оригинальные данные в безопасности, а всегда работайте с образом, специально сделанным для криминалистического анализа.

    [​IMG]
    Данное изображение показывает, что должна быть выбрана криминалистическая копия или образ. В данном случае образ для криминалистического анализа - HP.E01

    Анализ цифровых данных:

    [​IMG]
    Изображение иллюстрирует некоторую сомнительную деятельность на USB-накопителе, которая могут быть обнаружена.

    Удалены антивирус, незаконные материалы и другие папки.

    Восстановление удаленных файлов и папок:

    Здесь мы выяснили, что USB содержит некоторые подозрительные названия файлов в формате pdf.

    [​IMG]
    Извлечение данных:

    [​IMG]
    [​IMG]
    Наконец, мы восстановили вредоносные ссылки Tor в .onion в формате pdf в качестве доказательства. Счастливого расследования!!!

    Примечание: В некоторых случаях извлеченный файл может быть пустым, он показывает, что на новые файлы была произведена запись. В этом случае атрибуты файлов будут являться доказательством.

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

     

Поделиться этой страницей

Яндекс.Метрика
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie.
    Скрыть объявление